Citrix SD-WAN

区域

您可以在网络中配置区域并定义策略以控制流量进出区域的方式。默认情况下,将创建以下区域:

  • Internet_Zone
    • 适用于使用受信任界面进出 Internet 服务的流量。
  • Untrusted_Internet_Zone

    • 适用于使用不受信任界面进出 Internet 服务的流量。
  • Default_LAN_Zone

    • 适用于流入或流出具有可配置区域的对象(其中尚未设置区域)的流量。

您可以创建自己的区域并将它们分配给以下类型的对象:

  • 虚拟网络接口 (VNI)

  • 内联网服务

  • GRE 通道

  • 局域网 IPsec 隧道

下图显示了预配置的三个区域。此外,您可以根据需要创建自己的区域。在此示例中,区域“Zonea_Intranet”是用户创建的区域。它被分配到 SD-WAN 设备旁路段(端口 1 和端口 2)的虚拟接口。

本地化后的图片

数据包的源区域由接收数据包的服务或虚拟网络接口决定。这种情况的例外是虚拟路径流量。当流量进入虚拟路径时,数据包将标记为源自流量的区域,并通过虚拟路径传输该源区域。这允许虚拟路径的接收端在进入虚拟路径之前根据原始源区域做出策略决策。

例如,网络管理员可能需要定义策略,以便只允许站点 A 的 VLAN 30 的流量进入站点 B 的 VLAN 10。管理员可以为每个 VLAN 分配一个区域,并创建允许这些区域之间的流量并阻止来自其他区域的流量的策略。下面的屏幕截图显示了用户如何将 ZoneA_Intranet 区域分配给 VLAN 10。在此示例中,ZoneA_Intranet 区域之前由用户定义,以便将其分配给虚拟接口 VirtualInterface-2。

本地化后的图片

数据包的目标区域根据目标路由匹配确定。SD-WAN 设备在路由表中查找目标子网时,数据包将匹配一个路由,路由分配了一个区域。

  • 源区

    • 非虚拟路径:通过在接收虚拟网络接口数据包确定。

    • 虚拟路径:通过数据包流头中的源区域字段确定。

    • 虚拟网络接口-在源站点上接收数据包。

  • 目的地区

    • 通过数据包的目标路由查找确定。

与 SD-WAN 中的远程站点共享的路由会维护有关目标区域的信息,包括通过动态路由协议(BGP、OSPF)学习的路由。利用这种机制,区域在 SD-WAN 网络中具有全局意义,并允许在网络中进行端到端过滤。使用区域为网络管理员提供了根据客户、业务单位或部门分割网络流量的有效方法。

SD-WAN 防火墙的功能允许用户筛选单个区域内的服务之间的流量,或创建可在不同区域内的服务之间应用的策略,如下图所示。在下面的例子中,我们有区域 _A 和区域 B,每个区域都有一个 LAN 虚拟网络接口。

本地化后的图片

下面的屏幕截图显示了虚拟 IP (VIP) 从其分配的虚拟网络接口 (VNI) 继承的区域。

本地化后的图片

区域